Mit dem Wissen ausgestattet, dass ein Suchraum von 128 Bit auf absehbare Zeit mehr als ausreichend ist; mit 192 Bits, die lächerlich hoch sind; und 256 Bit sind etwas, das unvorstellbar unmöglich zu durchlaufen ist, und wenn Ihr Zeichensatz aus alphanumerischem Englisch in Groß- und Kleinbuchstaben besteht, zufällig generiert , können wir das sagen :

1. Ein Passwort mit 22 Zeichen ist auf absehbare Zeit mehr als ausreichend.

2. Ein Passwort mit 33 Zeichen ist lächerlich lang

3. Ein Passwort mit 46 Zeichen ist nur ... Ich weiß nicht, was ich sagen soll.

ol>

Um es in eine Zeile zu fassen: Mit einem alphanumerischen oberen / unteren Zeichensatz macht es nach 22 Zeichen weniger Sinn. Wann macht es keinen Sinn mehr? Irgendwo dazwischen und 33 Zeichen, sehr früh.

Die erforderliche Länge des Kennworts hängt von der Anzahl der Zeichen ab, aus denen es besteht. Ein Passwort in Kleinbuchstaben muss länger sein als ein alphanumerisches. Stattdessen betrachten wir den "Schlüsselraum" des in Bits gemessenen Passworts (oder den "Suchraum", wenn Sie dies aus Sicht des Angreifers betrachten).

Für die unmittelbare Zukunft a Ein Passwort im Bereich von 70 bis 90 Bit ist wahrscheinlich ausreichend. Auf absehbare Zeit wird Sie wahrscheinlich etwas in der Größenordnung von 130 Bit dorthin bringen. Für die Science-Fiction-Zukunft wird 256 wahrscheinlich niemals von irgendetwas geknackt werden können, das jemals angetroffen wurde.

Was die Anzahl der Bits in einem bestimmten Passwort betrifft, nehmen Sie einfach die Größe des Alphabets ( az) hat beispielsweise 26 mögliche Buchstaben, während az plus AZ plus 0-9 26 + 26 + 10 = 62 möglich hat Buchstaben), berechnen Sie die Protokollbasis 2 dieser Zahl ( 4,70 für 26 Buchstaben und 5,95 für 62 Buchstaben) und multiplizieren Sie das Ergebnis mit der Anzahl der Zeichen in Ihrer Passwort.

Da Mathematik schwierig ist, ist hier eine Tabelle für Sie vorberechnet.

  Länge az az, AZ, 0-912 56,4 71,514 65,8 83,416 75,2 95,318 84,6 107,220 94,0 119,122 103,4 131,024 112,8 142,9  

[Offenlegung: Ich arbeite für AgileBits, die Hersteller von 1Password]

Ich habe tatsächlich darüber geschrieben für unsere Benutzer. Wenn sie unseren Passwortgenerator verwenden und ihn sogar nur auf Groß- und Kleinschreibung beschränken, erhalten sie mit 23 Zeichen mehr als 128 Bit Entropie. $$ log_2 (52 ^ {23}) \ ca. 131 $$. 128 Bit sind mehr als ausreichend für jedes Passwort.

Wenn das Passwort nicht aus einer gleichmäßigen Zufallsverteilung ausgewählt wird, ist die Frage natürlich viel schwieriger zu beantworten. P. >

Ich würde sagen, dass ein Kennwort mit einer Länge von x nicht mehr sinnvoll ist, wenn die Authentifizierung des Benutzers so lange dauert, dass die Leistung spürbar beeinträchtigt wird. Mit der Technologie, wie sie heute ist, sehe ich absolut kein Problem mit einem 64- oder sogar 100-stelligen oberen / unteren + Zahl + Symbol-Passwort. Unabhängig vom Hashing-Algorithmus ist eine reine Bruteforce (ohne Verwendung anderer subversiver Techniken) nicht möglich.

Beispiel: Ein Passwort mit ~ 426 (auf die nächste 1 abgerundet) Entropiebits. Bei 7 Milliarden Hashes pro Sekunde (MD5) und Angriffskosten von 2 ^ n-1 würde dies 3,9 * 10 ^ 110 Jahre dauern (vorausgesetzt 24 Stunden am Tag und 365 Tage im Jahr). Ich bin damit einverstanden.

Aus Gründen der Argumentation habe ich dasselbe für ein Passwort gleicher Länge und Zufälligkeit getan, aber nur das englische Kleinbuchstaben verwendet. Das sind ungefähr 353 Entropiebits (auf die nächste 1 abgerundet). Dies würde 4,2 * 10 ^ 88 Jahre dauern (vorausgesetzt 24 Stunden am Tag und 365 Tage im Jahr).

Weitere Informationen zur Kennwortstärke und Entropie finden Sie in Anhang A hier.

Ich denke, die Frage selbst ist etwas unvollständig.

@ Adnans Antwort ist fast vollständig richtig. Es wird jedoch die Tatsache ausgelassen, dass viele Systeme den möglicherweise verwendeten Zeichensatz künstlich einschränken, was wiederum die Ergebnisse der Längenberechnungen ändert. Zum Beispiel ist ein System, das nur die Verwendung von A-Z, A-Z und 0-9 zulässt, bei 22 Zeichen viel einfacher zu knacken als ein System, das auch Satzzeichen und / oder nicht druckbare Zeichen in seinem zulässigen Bereich enthält. Mit anderen Worten, ein größerer Bereich akzeptabler Zeichen kann zu einer geringeren Anzahl führen, die für dieselbe "Schutzstufe" erforderlich ist.

Der nächste Punkt befasst sich wirklich mit der Verwendung. Das heißt, dass eine Passphrase viel einfacher zu merken ist als eine zufällige Zeichenfolge und sicherlich länger als die verbotenen 22 oder 33 Zeichen sein kann, während der Benutzer sie leicht abrufen kann. Selbst wenn 33 Zeichen aus technischer Sicht als "lächerlich lang" angesehen werden - was bedeutet, dass ein Passwort-Manager erforderlich ist - ist dies aus Benutzersicht möglicherweise nicht wirklich der Fall.

Ich verwende routinemäßig Passphrasen im Bereich von 40 bis 60 Zeichen. Diese sind leicht zu merken und aufgrund der Berechnungen nicht durchführbar. Leider lassen die meisten Systeme diese Länge einfach nicht zu.

Anstelle einer Empfehlung für einen Passwort-Manager würde ich die Benutzer einfach über Passphrasen informieren, während eine bestimmte Mindestlänge erforderlich ist. Um die Dinge zu erleichtern, würde ich mir die Bereiche ansehen, in denen die App verwendet werden soll, und sicherstellen, dass allgemeine Satzzeichen für diese Gebietsschemas zulässig sind.

Es ist offensichtlich nicht sinnvoll, Passwörter länger (in Entropie) als den Hash zu wählen, den Sie verwenden werden. Niemand wird versuchen, diese zu erraten, da dies nicht erforderlich ist. Ihr System akzeptiert gerne ein kürzeres Kennwort, das bei einer Hash-Kollision gefunden wurde.

Wenn Sie beispielsweise 128-Bit-Hashes verwenden und Ihre Kennwörter dies tun Es ist wirklich zufällig und enthält a-zA-Z0-9 (ca. 6 Bit pro Zeichen). Es ist nicht sinnvoll, Kennwörter zu generieren, die länger als 128/6 = 22 Zeichen sind (aufgerundet). Wie gesagt, für jedes längere Passwort gibt es ein gleichwertiges Passwort mit maximal 22 Zeichen, das ohnehin als korrekt erkannt wird. Bei 256-Bit-Hashes sind Kennwörter mit bis zu 43 Zeichen sinnvoll.

Meiner Ansicht nach sind 8 zufällige Zeichen (relativ) trivial zu merken. Es wird immer noch Opposition geben, aber es ist für die meisten Menschen möglich.

16 Zeichen würden schwierig werden. Möglich für den Großteil der Bevölkerung, die dies benötigen, aber Sie müssen sehr wählerisch sein, welche Systeme es verwenden.

24 Zeichen erfordern einen Passwort-Manager für den größten Teil der Bevölkerung.

32 Zeichen ist effektiv ein Schlüssel. Es ist unwahrscheinlich, dass sich der Benutzer selbst daran erinnert.

Ich würde einen Passwort-Manager effektiv als Schlüsselverwaltungssystem mit einer menschlichen Schnittstellenschicht betrachten. Die Benutzer werden sich die Passwörter nie wirklich merken und sie nur sehr selten tatsächlich sehen. Es ist mein Rat, sie so lange wie möglich innerhalb der Systemgrenzen zu machen.